つみかさね

CVE-2026-21622

Critical(9.8)

Hex.pmのパスワードリセットトークンの無期限有効 CVE-2026-21622:影響範囲と対応方法

公開日: 2026-03-20データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
hexpmhexpm修正コミット bb0e4209 より前

対応ガイド

high|対応必須セキュリティ修正影響: 極めて広範

推奨アクション

  1. 1影響を受けるバージョンを使用しているか確認
  2. 2修正バージョンへのアップデートまたはパッチ適用
  3. 3アップデート不可の場合は回避策の検討・適用

影響対象

hexpm

補足

  • -CVSS Critical — 早急な対応を推奨します
CVEHex.pmElixirトークンアカウント乗っ取り

概要

Hex.pm(hexpm)は Elixir / Erlang エコシステム の パッケージ マネージャ で ある Hex の レジストリ サーバー です。パスワード リセット 機能 に おいて、発行 された リセット トークン に 有効期限 が 設定 されて いない 脆弱性 が 存在 します。

CWE-613(セッション 期限切れ 不十分)に 分類 される この 問題 に より、過去 に 送信 された パスワード リセット メール が 漏洩 した 場合、攻撃者 は その メール に 含まれる トークン を 使用 して いつ でも 対象 アカウント の パスワード を リセット し、アカウント を 乗っ取る こと が 可能 です。

パッケージ レジストリ の アカウント が 侵害 される と、悪意 ある パッケージ の 公開 に つながる サプライチェーン 攻撃 の リスク も 生じます。hexpm を セルフ ホスト して いる 環境 で は、速やか に 修正 コミット を 適用 して ください。

CVSSベクトル

項目
CVSSスコア9.8
深刻度Critical
CWECWE-613 (セッション期限切れ不十分)

影響を受けるソフトウェア

製品ベンダー影響バージョン
hexpmhexpm修正コミット bb0e4209 より前

修正バージョンと回避策

  • 修正: commit bb0e42091995945deef10556f58d046a52eb7884 を 適用 する
  • 暫定回避策: パスワード リセット メール の 送信 を 一時的 に 無効化 し、管理者 に よる 手動 リセット に 切り替える。また、過去 に 発行 された 未使用 トークン を データベース から 無効化 する こと を 推奨 します

関連リンク


データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。